Fathom Analytics und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Fathom Analytics ein, verarbeitet er nach Angaben des Anbieters ausschließlich die IP-Adresse und den User-Agent der Webseitenbesucher zum Zweck der pseudonymisierten Reichweitenmessung auf Basis eines berechtigten Interesses oder einer Einwilligung. Dieser Beitrag erklärt, welche Daten Fathom Analytics konkret verarbeitet, wie die Verarbeitung rechtlich einzuordnen ist und welche Angaben ein Webseitenbetreiber in seine Datenschutzerklärung aufnehmen sollte. Die Darstellung stützt sich auf öffentlich zugängliche Angaben des Anbieters und ersetzt keine Einzelfallprüfung.

A. Zweck und Funktionsweise von Fathom Analytics

Fathom Analytics ist ein webbasiertes Analyse-Werkzeug, das Webseitenbetreibern Auswertungen über die Nutzung ihrer Webseite liefert – etwa Seitenaufrufe, Besucherzahlen, Herkunftsländer und Referrer-Informationen. Der Anbieter positioniert Fathom Analytics ausdrücklich als datenschutzfreundliche Alternative zu klassischen Analyse-Diensten und wirbt damit, ohne Cookies und ohne Speicherung direkt identifizierender Personendaten zu arbeiten.

Die für den Webseitenbetreiber zentrale Integrations-Funktion ist das Fathom-Tracking-Skript: Ein kurzes JavaScript-Snippet wird in die Webseite eingebunden und sendet bei jedem Seitenaufruf einen Request an die Fathom-Server. Fathom bietet darüber hinaus weitere Funktionen wie Event-Tracking (Conversions), E-Mail-Reports, Uptime-Monitoring und eine Bildschirmfreigabe-Funktion für Dashboards. Im Folgenden wird ausschließlich die Integrations-Funktion des Tracking-Skripts für klassische Webseiten-Analyse behandelt.

B. Pflichtangaben in der Datenschutzerklärung bei Einsatz von Fathom Analytics

Die DSGVO schreibt in Bezug auf den Einsatz von Tools wie Fathom Analytics neben den allgemeinen Angaben zur Datenschutzerklärung spezifische Pflichtangaben vor. Konkret zu informieren ist über die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO), die Rechtsgrundlagen (Art. 13 Abs. 1 lit. c DSGVO), bei Verarbeitung auf Grundlage einer Interessenabwägung zusätzlich über die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO), die Empfänger oder Kategorien von Empfängern (Art. 13 Abs. 1 lit. e DSGVO) sowie über etwaige Übermittlungen in unsichere Drittländer außerhalb EU/EWR (Art. 13 Abs. 1 lit. f DSGVO). Ergänzend sind die Speicherdauer bzw. die Kriterien zu ihrer Festlegung (Art. 13 Abs. 2 lit. a DSGVO) anzugeben und – soweit die Daten nicht direkt beim Betroffenen erhoben werden – zusätzlich die Kategorien der verarbeiteten personenbezogenen Daten (Art. 14 Abs. 1 lit. d DSGVO).

Die vorgenannten Pflichtangaben werden nachfolgend für Fathom Analytics aufgeschlüsselt.

Nicht erforderlich ist es, jedes einzelne Tool in der Datenschutzerklärung namentlich und mit einem eigenen Textbaustein aufzuführen – auch wenn sich genau diese Praxis in vielen Datenschutzerklärungen eingebürgert hat. Dieser „Textbaustein-pro-Tool"-Ansatz hat sich als unglückliche Manier etabliert: Er führt zu langen, inhaltlich stark wiederholenden Texten und macht die gesamte Datenschutzerklärung schwer pflegbar und kaum lesbar. Sachgerechter ist ein themenorientierter Ansatz, der die Verarbeitungen übergreifend beschreibt (Serverbetrieb, Newsletter, Tracking, Verkauf …) und konkret eingesetzte Dienstleister nur in einem Anhang auflistet. Genau diese Methodik verfolgt der matterius-Generator.

C. Anbieter von Fathom Analytics

Anbieter von Fathom Analytics ist nach den öffentlich zugänglichen Angaben des Unternehmens die

Conva Ventures Inc. Sitz: British Columbia, Kanada

Die Datenschutzhinweise des Anbieters speziell für den Dienst sind abrufbar unter https://usefathom.com/legal/privacy. Der Data Processing Agreement (DPA) ist abrufbar unter https://usefathom.com/legal/dpa.

Kanada verfügt über einen Angemessenheitsbeschluss der EU-Kommission (begrenzt auf kommerzielle Organisationen), so dass für Übermittlungen an Conva Ventures Inc. grundsätzlich keine zusätzlichen Garantien wie Standarddatenschutzklauseln nach Art. 46 DSGVO erforderlich sind. Der Anbieter gibt an, für europäische Kunden eine sogenannte „EU Isolation" anzubieten, bei der Daten von EU-Besuchern auf Servern in der EU verarbeitet werden und die IP-Adresse bereits in der EU entfernt wird, bevor anonymisierte Daten ggf. zu US-basierten Servern übertragen werden. Der Webseitenbetreiber sollte im Einzelfall prüfen, ob die EU-Isolation für seinen Account aktiviert ist und ob die konkrete Subprozessor-Liste zum Einsatz passt.

D. Datenverarbeitung bei Fathom Analytics – Ablauf in Schritten

E. Von Fathom Analytics erhobene Daten

Nach den öffentlich zugänglichen Angaben des Anbieters werden bei Einsatz des Fathom-Tracking-Skripts insbesondere die IP-Adresse (die kurzfristig zur Hash-Bildung verwendet und anschließend nicht weiter gespeichert wird), der User-Agent, die aufgerufene URL, der Referrer, die Bildschirmgröße, der grobe Standort auf Länderebene sowie Event-Informationen (Conversions) verarbeitet. Ein direkter Personenbezug über Name, E-Mail-Adresse oder persistente Kennungen im Browser entsteht nach Anbieterangaben nicht, da Fathom keine Cookies und keine localStorage-Einträge setzt.

Die Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: Daten, die der Fathom-Server bei jeder Anfrage erhält, insbesondere IP-Adresse des Internetanschlusses, Datum, Uhrzeit und Zeitzone der Anfrage, URL des angefragten Inhalts, Referrer sowie technische Metadaten wie Statuscode und übertragene Datenmenge.
• Klickpfade: Besuchte Seiten der Webseite mit Datum und Uhrzeit sowie – soweit der Webseitenbetreiber Events konfiguriert – angeklickte Links, Schaltflächen, aufgerufene Formulare und Conversion-Ereignisse.
• Endgeräte-Daten: Angaben zum Endgerät wie Gerätetyp, Bildschirmauflösung und Bildschirmgröße.
• Browserinformationen: Informationen über den verwendeten Browser, insbesondere Browsername und Browserversion.
• Grobe Standortdaten: Anhand der IP-Adresse ermittelter grober Standort des Nutzers, nach Anbieterangaben typischerweise auf Länderebene.
• Conversion-Ereignisse: Vom Webseitenbetreiber als relevant festgelegte Nutzerinteraktionen, z. B. Aufruf bestimmter Seiten, Downloads oder Kontaktanfragen, soweit Events konfiguriert sind.

F. Nutzungszwecke von Fathom Analytics

Webseitenbetreiber nutzen Fathom Analytics typischerweise, um die Reichweite ihrer Online-Angebote zu messen, häufig aufgerufene Inhalte zu identifizieren, die technische Performance (z. B. Gerätenutzung) zu verstehen und den Erfolg einzelner Kampagnen oder Inhalte über Conversion-Events zu bewerten. Fathom Analytics ist primär auf die Auswertung des Nutzerverhaltens zur Verbesserung der eigenen Webseite ausgerichtet; nutzerindividuelles Marketing oder personalisierte Werbung gehören ausdrücklich nicht zu den vom Anbieter beworbenen Einsatzzwecken.

Die Zwecke, die der Webseitenbetreiber mit dem Einsatz von Fathom Analytics typischerweise verfolgt, lassen sich in folgende standardisierte Nutzungszweck-Klassen einordnen:

• Funktionsbereitstellung: Erbringung der Funktionalität der Webseite, insbesondere Fehlererkennung und -behebung auf Basis technischer Auswertungen.
• Sicherheit und Missbrauchsschutz: Begrenzte Nutzung zur Erkennung auffälliger Zugriffsmuster.
• Allgemeine Produktverbesserung: Generelle bedarfsgerechte Gestaltung der Webseite, insbesondere Optimierung auf Basis häufig aufgerufener Inhalte, Verbesserung der Nutzerfreundlichkeit und allgemeine Geschäftsplanung.
• Allgemeines Marketing: Nicht nutzerindividuelle Ausrichtung der Marketingmaßnahmen, insbesondere Reichweitenanalyse und Erfolgsmessung von Kampagnen.

Eine Nutzerprofil-Erstellung, nutzerindividuelle Produktverbesserung oder nutzerindividuelles Marketing erfolgt durch Fathom Analytics nach den Anbieterangaben aufgrund der Pseudonymisierung nicht.

G. Rechtsgrundlagen für den Einsatz von Fathom Analytics

Fathom Analytics fällt in die Tool-Kategorie Tracking (Statistik/Reichweitenmessung).

Für Tracking-Dienste kommt regelmäßig eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 25 Abs. 1 TDDDG in Betracht. Da Fathom Analytics nach den Anbieterangaben keine Cookies setzt und keine Informationen im Endgerät speichert oder ausliest, argumentiert der Anbieter, dass § 25 TDDDG für den Dienst nicht einschlägig ist. Für die reine Speicherung der pseudonymisierten Nutzungsdaten auf den Fathom-Servern wird in solchen Konstellationen zusätzlich auf berechtigte Interessen nach Art. 6 Abs. 1 lit. f DSGVO abgestellt, insbesondere an Verbesserung und Geschäftssteuerung (bedarfsgerechte Gestaltung der Online-Dienste, Ermittlung der Reichweite, Entscheidung über Investitionen in einzelne Inhalte).

Ob der Verzicht auf Cookies und persistent gespeicherte Kennungen im Einzelfall ausreicht, um § 25 TDDDG zu umgehen, und ob die Interessenabwägung bei cookieloser Reichweitenmessung zugunsten des Webseitenbetreibers ausfällt, ist aufsichtsrechtlich und in der Rechtsprechung nicht abschließend geklärt. Die konkrete Rechtsgrundlage ist daher vom Webseitenbetreiber im Einzelfall zu prüfen. Wird Fathom Analytics im Rahmen einer Consent-Lösung eingebunden, ist die Einwilligung des Nutzers Rechtsgrundlage.

H. Besonderheiten und Hinweise zu Fathom Analytics

• Cookieloses Tracking: Fathom setzt nach Anbieterangaben keine Cookies und speichert keine persistenten Kennungen im Endgerät. Ob dadurch § 25 TDDDG nicht einschlägig ist, ist vom Webseitenbetreiber im Einzelfall zu bewerten.
• EU Isolation: Der Anbieter bietet nach eigenen Angaben eine standardmäßig aktivierbare „EU Isolation" an, bei der Daten von EU-Besuchern auf EU-Servern verarbeitet werden. Details und Aktivierungsstatus sind im Fathom-Account zu prüfen.
• Drittlandtransfer / Angemessenheitsbeschluss: Anbieter ist eine kanadische Gesellschaft. Kanada verfügt über einen Angemessenheitsbeschluss der EU-Kommission für kommerzielle Organisationen. Subprozessoren können sich in weiteren Ländern befinden; hier gelten die jeweiligen Garantien nach Art. 44 ff. DSGVO.
• Auftragsverarbeitungsvertrag (DPA): Der Anbieter stellt nach eigenen Angaben einen DPA nach Art. 28 DSGVO bereit und bezeichnet sich selbst als Auftragsverarbeiter. Der Abschluss eines entsprechenden Vertrags ist bei Einsatz des Tools regelmäßig erforderlich.
• Einstellungen für den Webseitenbetreiber: Prüfung der Aktivierung der EU Isolation, Konfiguration der Event-/Conversion-Tracker, ggf. Einbindung über einen Consent-Manager.
• Opt-Out für Besucher: Aufgrund der Pseudonymisierung stellt Fathom nach eigenen Angaben kein klassisches Opt-Out-Cookie bereit. Besucher können den Einsatz durch Browser-Einstellungen (z. B. Blockade von Skripten) oder – bei Einbindung über einen Consent-Banner – durch Verweigerung der Einwilligung unterbinden.

I. Häufige Fragen zu Fathom Analytics (FAQ)

J. Fazit und Empfehlung zum Einsatz von Fathom Analytics

Fathom Analytics ist ein Reichweitenmess-Tool, das nach den Angaben des Anbieters auf Cookies und direkt identifizierende Daten verzichtet und eine EU-Isolation für europäische Kunden vorsieht. Die konkrete datenschutzrechtliche Einordnung – insbesondere die einschlägige Rechtsgrundlage und die Frage, ob § 25 TDDDG Anwendung findet – hängt vom konkreten Setup ab und ist vom Webseitenbetreiber im Einzelfall zu beurteilen.

Für die Datenschutzerklärung gilt: Es ist regelmäßig wenig sinnvoll, für jedes einzelne Tool – und damit auch für Fathom Analytics – einen eigenen, langen Textbaustein aufzunehmen. Das macht die Datenschutzerklärung unübersichtlich, inhaltlich redundant und schwer pflegbar und läuft dem Transparenzgebot des Art. 12 Abs. 1 DSGVO zuwider, wonach Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form zu erfolgen haben. Sachgerechter ist ein strukturierter, themenorientierter Ansatz: Die Verarbeitungen werden nach Themenblöcken (Serverbetrieb, Newsletter, Tracking, Verkauf …) übergreifend beschrieben; einzelne Tools und Dienstleister – darunter Fathom Analytics – werden im Anhang Empfänger namentlich aufgeführt. Genau diese Methodik verfolgt der matterius-Generator.

K. Kurator

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com